Euroopan unionin yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR) koskee kaikkia yrityksiä: isoista tukkukaupoista pieniin paikallisiin ravintoloihin. Asiaa on käsitelty paljon, mutta usein artikkelit ovat hyvin laaja-alaisia tai eivät anna vastauksia kysymyksiin.

GDPR:n tavoitteet

Asetuksen tarkoitus on:

Asetuksen soveltamisala

GDPR koskee kaikenkokoisia yrityksiä, joilla on asiakkaita tai työntekijöitä Euroopan unionissa.

GDPR antaa tasavertaiset oikeudet kaikille teidän asiakkaille, myös EU:n ulkopuolisille asiakkaille.

Mikä on henkilötietojen käsittely?

Ehdottomasti kaikki.

Tietojenkäsittely alkaa syöttämällä asiakastiedot Erply:n ja loppuu poistamalla asiakastiedot. Tietojenkäsittelyksi luetaan tietojen katsominen, lisääminen, muokkaaminen ja poistaminen, myyntitapahtuma tai tilauksen vastaanottaminen.

Kuinka kerätä käyttöoikeudet asiakkailta? Miten kertoa asiakkaille tietojenkäsittelystä?

Asetuksessa asetetaan kaksi tärkeää vaatimusta, joiden lisäksi (minkä yhteydessä) sinun on päivitettävä myös kanta asiakkaan liittymislomakkeet (paperiset tai sähköiset) ja käyttöehdot:

Ennen henkilötietojen keräämistä sinun on selvitettävä asiakkaalle, mihin tarkoituksiin heihin liittyviä tietoja aletaan käyttää. Se on myös mahdolli- suus selittää asiakkaille, miten he hyötyvät tietojenkäsittelystä.

Sinun on myös laadittava luettelo kaikista alihankkijoista tai yrityksistä, joille asiakkaiden tietoja jaetaan. Asiakkaat voivat pyytää luetteloa yrityksistä, jotka käsittelevät heidän tietojaan. Erply kuuluu luonnollisesti niiden joukkoon. Jos käytät verkkokauppaa tai käytät jotain muuta mukautettua integraatiota, mukana saattaa olla useampia osapuolia.

Selitä kuka on vastuussa asiakkaan tiedoista ja mitä toimenpiteitä käytetään niiden suojaamiseksi.

Yksityiskohtaiset tiedot velvollisuudesta toimittaa tietoja on lueteltu GDPR: n 13 §: ssä

Luettele tietojenkäsittelyn tavoitteet. Ne todennäköisesti vaihtelevat yrityksen mukaan. On tärkeää, että nämä tavoitteet on kuvattu selkeällä ja ymmärrettävällä kielellä - asiakkaiden ei pitäisi tarvita oikeudellista apua tietojenkäsittelyn tavoitteiden ymmärtämiseksi.

Yrityksesi on säilytettävä vastaanottamansa paperilomakkeet tai sähköisesti toimitetut tiedot, jotta näihin suostumuksiin  voidaan myöhemmin tarvittaessa viitata.

Erply ei tarjoa tietokenttiä asiakkaan suostumusten tallentamiseksi, lukuun ottamatta “Asiakas ei halua vastaanottaa sähköpostia” - valintaruutua asiakaskortissa. Tietojenkäsittelyn tavoitteet yksilöllisiä jokaisella yrityksellä, joten emme voi säännellä niitä.

Mitä muita oikeuksia asiakkailla on?

GDPR myöntää yksilöille useita oikeuksia. Turvallisuustietoiset asiakkaat ovat varmaan valmiita käyttämään uusia mahdollisuuksia, joten ole valmis vastaamaan seuraaviin kysymyksiin:

Huomautus: Asiakkaalta pitää vaatia aina henkilötodistus. Väärän henkilön tietojen käsittely on vakava rikos.

Kaikki asiakastiedot säilytetään Erply:n taustajärjestelmässä asiakaskortilla. Tarkasta tarvittaessa:

 

GDPR: n mukaan henkilöt voivat pyytää kopion heitä koskevasta asiakaskortista ja tapahtuman historiasta. Lähitulevaisuudessa nämä tiedot on saatavilla myös sähköisenä tiedostona, jonka voi ladata asiakaskortista:

 

 

Suostumus ei ole pysyvä. Salli aina asiakkaiden luopua suostumukses- taan.

Päivitä tai poista asiakkaan tiedot hänen pyynnöstä.

Asiakastietojen poistamisen edellytyksenä on, että maksamattomia laskuja ei ole.

Asiakaskortti voidaan poistaa kokonaan, mutta voi myös tyhjentää vain ne kentät, mitä asiakas on pyytänyt poistettavaksi.

Tietojen hallinta voisi olla johdonmukainen prosessi; esimerkiksi kassat voisivat kerran vuodessa pyytää asiakasta vahvistamaan puhelinnumeronsa ja sähköpostiosoitteensa.

Mitä henkilökohtaisia tietoja on tallennettu Erply-palveluun?

Erply: n tallennetut henkilötiedot voivat olla seuraavat:

GDPR-standardia sovellettaessa seuraa kolmea tärkeätä sääntöä:

 

Herkät henkilötiedot sisältävät:

Tarkista ja minimoi yrityksesi tallennettujen tietojen määrä

Ensin tee luettelo kaikista henkilötiedoista, mitä sinulla on. Tässä yhteydessä tulisi esittää seuraavat kysymykset:

Tallennettujen henkilötietojen määrän on oltava mahdollisimman vähäinen.

Pidä vain ne tiedot, joita todella tarvitset (ja olet saanut lain mukaisesti) ja poista loput.

Vihje: Jos työskentelet yritysasiakkaiden kanssa, voit asiakaskortille laittaa yhteyshenkilön tietoihin henkilön nimen sijasta hänen ammattinimikkeen. Tällä tavoin Erply:iin tallennettuja puhelinnumeroita ja sähköpostiosoitteita ei voi käyttää henkilön tunnistamiseen, joten niitä ei käsitellä henkilötietoina.


Asiakastietojen anonymisointi

Anonymisoitu asiakaskortti on sellainen, joka ei sisällä henkilökohtaisesti tunnistettavia tietoja:

 

 

Koska asiakas voidaan tunnistaa asiakaskortin numerolla, ei ole välttämätöntä tallentaa asiakkaan nimeä tai sähköpostiosoitetta.

Tällä tavoin asiakas voi olla anonyymi haluttaessa, mutta silti säilyttää bonuspisteitä, henkilökohtaisia kuponkeja, kanta-asiakkaan hintoja ja muita etuja. Ja sinulla säilyy edelleen asiakkaan yksityiskohtainen ostohistoria.

Kirjaako Erply tietojenkäsittely toimintoja?

Kyllä ja ei.

Kyllä - kaikesta, mitä teet Erply:ssä, pidämme lokia, asetuksen vaatimusten mukaisesti.

Emme kuitenkaan voi seurata eikä rekisteröidä asiakastietojen käsittelyä, joka tapahtuu Erply-palvelun ulkopuolella.

Erply:n ulkopuolella suoritettuja toimintoja varten pitäisi:

  1. Pitää erillistä lokia muualla tai
  2. Tallentaa suoritetut toiminnot Erply:n lokiin käyttämällä Erply API hakua.

Tämä koskee:

Jos käytät jotain seuraavista palveluntarjoajista, voisit tarkistaa, tarjoavatko ne tarvittavat lokit. Jos ei, niin sinun on löydettävä ratkaisu kirjaamiseen itse.

Huomaa! Asiakkaalla ei ole oikeutta pyytää kopiota lokista. Lokeja säilytetään ainoastaan niitä tapauksia varten, joissa asiakas esittää valituksen. Tämä voi johtaa siihen, että Tietosuoja Valvontaviranomainen käynnistää tutkimuksen ja pyytää yritystä toimittamaan tarvittavat lokit. Erply pystyy näissä tapauksissa auttamaan sinua!

Tärkeät turvallisuustoimenpiteet, mitä sinun on pantava täytäntöön

Suosituksemme asiakastietojen turvallisuuden säilyttämiseksi:

Kun haluat viedä asiakkaan tietoja, muista poistaa tiedot tietokoneelta heti käsittelyn jälkeen.

Työntekijöitä on kehotettava olemaan käyttämättä henkilökohtaisia laitteita eikä kirjautumaan niiden kautta Erply:n tai muuhun palveluun, jossa säilytätte asiakkaiden tietoja. Varmista, että toimisto-tietokoneesi on määritetty turvallisesti ja että niissä ei ole viruksia tai muita haittaohjelmia.

Asiakkaidesi tietoja suojataan salasanalla, jota käytät kirjautumiseen Erply palveluun. Rikkomuksen tapahtuessa, yrityksesi on vastuussa. Salasanan tulee olla riittävän pitkä ja sisältää satunnaisia merkkejä, numeroita ja erikoismerkkejä.

Varmista, että tunnistat asiakkaan ennen kuin luovutat hänelle mitä tahansa henkilötietoja. Voit antaa tietoja vain, kun olet vahvistanut, että vastaanottaja on tunnistettu kyseisenä henkilönä.

          Tietosuoja toimenpiteet on helpompi toteuttaa, kun vastaat seuraaviin kysymyksiin:

          - Minkälaisissa yrityksen prosesseissa käytetään asiakkaiden tietoja?

          - Keitä työntekijöistä tämä koskee?

          - Mitä tietoja käsitellään?

          - Mikä on tietojen käsittelyn tarkoitus?

          - Missä asiakastietoja säilytetään (mitkä käsittelijät) ja mikä on oikeusperusta tietojen säilyttämiselle?

          Jaa tämä artikkeli kaikille työntekijöille ja kollegoillesi. Alla on myös ratkaisu, jolla varmistaa, ettei työntekijä saa pääsyä asiakastietoihin ennen kun hän on käynyt läpi kyseiset ohjeet.

Yrityksellä on velvollisuus ilmoittaa tietovuodosta, luvattomasta käytöstä tai tietoturvasta, joihin liittyy mahdollinen pääsy henkilötietoihin Tietosuojavaltuutetulle 72 tunnin kuluessa     rikkomisen havaitsemisesta. Lisäksi on velvollisuus ilmoittaa tapahtuneesta kaikille asianomaisille, mukaan lukien asiakkaat, joiden tiedot ovat vaarassa.

Varmista, että yrityksesi valtuutetut käsittelijät, joille siirrätte henkilötietoja, ovat GDPR: n mukaisia. Lain mukaan on yrityksesi vastuussa oleva käsittelijä, joka on yksin vastuussa valtuutettujen käsittelijöiden riittävyyden arvioinnista.     

Uuden työntekijän koulutus

Uusille työntekijöille on varmistettava, että he saavat asianmukaisen koulutuksen ja yleiskatsauksen tietosuojaperiaatteista ennen kuin heille annetaan pääsy asiakkaiden tietoihin. Tätä varten suosittelemme uuden työntekijän käyttöönottoprosessin määrittämistä.

Ratkaisu ( joka on pian saatavana Erply-tilillesi ) on seuraava:

  1. Pyydä Erply: n asiakastukea lisäämään Tietosuoja- moduuli tilillesi.

         Erply: n Tietosuoja- moduuli näyttää informatiivisen ponnahdusikkunan jokaiselle käyttäjälle ja pyytää vahvistusta ennen jatkamista:


Työntekijöiden vahvistukset voidaan lisätä myös manuaalisesti suoraan työntekijän korttiin.

  1. Vahvista työntekijän pääsy asiakastietoihin:


  1.  Kun kaikki työntekijät ovat koulutettu, aktivoi rajoitukset kohdassa    

               “Asetukset” → “Yleiset asetukset”:

Loppusanat

Toivomme, että nämä ehdotukset ovat hyödyllisiä ja auttavat sinua luomaan vankan pohjan GDPR-vaatimusten  noudattamiselle.

Suunnittelemme vielä muutamia GDPR-ominaisuuksia Erply: n lisättäväksi.

Pysy kuulolla!